Студентка МТУСИ Елизавета Микуленко под руководством доцента кафедры «Информационная безопасность» Александра Большакова разработала программный инструмент для автоматизированного поиска следов закрепления злоумышленников в Windows. Программа зарегистрирована как ПО для ЭВМ № 2026610293 от 22 января 2026 г. Она ускоряет анализ точек автозапуска, где хакеры прячут вредоносный код, делая ручной аудит в разы быстрее. Об этом CNews сообщили представители МТУСИ.
Современные кибератаки часто длятся месяцами: злоумышленники закрепляются в системе, чтобы сохранять доступ даже после перезагрузки, смены паролей или восстановления. Обычные антивирусы не всегда ловят такие хитрые методы, особенно когда используются легитимные функции Windows вроде реестра или планировщика задач. Ручная проверка занимает часы и требует эксперта — наш инструмент автоматизирует процесс на основе триаж-анализа (быстрого сбора ключевых данных с помощью KAPE).
Что проверяет инструмент: записи реестра (Run, Services, Winlogon); файлы в папках автозагрузки; задачи планировщика с разными триггерами; COM-объекты и расширения оболочки.
Для каждого подозрительного файла собираются метаданные: имя, размер, даты создания/изменения. Тесты показали 100% обнаружение всех типов закрепления — от Run-ключей до служб и автозагрузки. Время аудита сокращается с часов до минут, что критично для расследований инцидентов.
Инструмент подходит для ИБ-специалистов, пентестеров и аудиторов. Он повышает эффективность цифровой криминалистики и помогает proactively выявлять угрозы.
Поделиться
